เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 4.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 4.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

watchOS 4.3

เปิดตัวเมื่อวันที่ 29 มีนาคม 2018

CoreFoundation

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลสตริงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4142: Robin Leroy จาก Google Switzerland GmbH

กิจกรรมระบบไฟล์

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4167: Samuel Groß (@5aelo)

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4150: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4104: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4143: derrek (@derrekr6)

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการเปลี่ยนสถานะโปรแกรม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4185: Brandon Azad

เพิ่มรายการเมื่อวันที่ 19 กรกฎาคม 2018

NSURLSession

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4166: Samuel Groß (@5aelo)

Quick Look

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4157: Samuel Groß (@5aelo)

ความปลอดภัย

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

การตั้งค่าระบบ

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: โปรไฟล์การกำหนดค่าอาจมีผลใช้ต่อไปอย่างไม่ถูกต้องหลังจากที่ลบออกแล้ว

คำอธิบาย: มีปัญหาใน CFPreferences ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการล้างข้อมูลการตั้งค่าให้ดียิ่งขึ้น

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov และ Matt Vlasach จาก Wandera

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดกับประเภทการจัดทำดัชนีส่งผลให้เกิดความล้มเหลว ASSERT

คำอธิบาย: มีปัญหาการจัดทำดัชนีอาร์เรย์ในการจัดการฟังก์ชั่นในส่วนหลักของ javascript ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4113: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4146: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4114: พบโดย OSS-Fuzz

CVE-2018-4121: Natalie Silvanovich จาก Google Project Zero

CVE-2018-4122: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4125: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4129: likemeng จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4161: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4162: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4163: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาข้ามต้นทางกับ API ที่ดึงข้อมูล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4117: นักวิจัยนิรนามและนักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4207: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4208: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4209: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดกับประเภทการจัดทำดัชนีก่อให้เกิดความล้มเหลว

คำอธิบาย: มีปัญหาการจัดทำดัชนีอาร์เรย์ในการจัดการฟังก์ชั่นในส่วนหลักของ javascript ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4210: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4212: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4213: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

คำขอบคุณพิเศษ

เมล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Sabri Haddouche (@pwnsdx) จาก Wire Swiss GmbH

เพิ่มรายการเมื่อวันที่ 21 มิถุนายน 2018

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abraham Masri (@cheesecakeufo)

เพิ่มรายการเมื่อวันที่ 13 เมษายน 2018

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: